I perioden 2018 til 2021 mottok Datatilsynet en rekke klager fra tidligere Sats-medlemmer som ønsket å bli slettet fra treningskjedens registre, men som mente de ikke ble hørt.
Etter en tids undersøkelser sendte tilsynet i høst ut et varsel om at treningskjeden vil få en bot på 10 millioner kroner for brudd på personvernlovgivningen.
Hvis Sats er uenige i overtredelsesgebyret, kan de klage og saken oversendes Personvernnemnda. Det er da nemden som fatter det endelige vedtaket.
– Vår foreløpige vurdering er at Sats ikke oppfyller sine plikter relatert til de registrerte medlemmenes rettigheter på en god nok måte. Vi har derfor gitt et forhåndsvarsel på 10 millioner kroner. Sats har gitt sin vurdering av vedtaket til oss, og vi regner med å beslutte et vedtak i begynnelsen av neste år, sier kommunikasjonsdirektør Janne Stang Dahl.
– Ikke systematiske feil
Kommunikasjonsdirektør Sebastian Kvarme forteller at treningskjeden reagerer på Datatilsynets varsling av overtredelsesgebyr, og spesielt på størrelsen.
– Datatilsynet har varslet overtredelsesgebyr for brudd på GDPR-reglene basert på fire klagesaker fra daværende medlemmer mottatt i perioden 2. oktober 2018 til 8. desember 2021. Disse enkeltsakene er knyttet til responstid på innsynsforespørsel og sletting av persondata. To av tilfellene gjelder oppbevaring av trivielle data (navn, alder og bilde) i opptil 60 måneder på grunn av utestengelse grunnet alvorlige forhold. Dette har vi gjort av hensyn til våre ansattes og medlemmers sikkerhet, skriver han i e-post.
På bakgrunn av disse fire klagene mener treningskjeden det ikke grunnlag for å indikere systematiske feil ved Sats’ etterlevelse av GDPR-reglene.
– Vi har systemer og rutiner på plass som følges. Vi bruker store ressurser på håndteringen av personopplysninger, og etterlever både det nasjonale og det internasjonale regelverket, skriver Kvarme.
Han sier det er viktig for treningskjeden å understreke at medlemmenes personopplysninger er godt ivaretatt.
– Ingen personopplysninger er blitt delt med utenforstående eller på annen måte kommet på avveie, og ingen personopplysninger er blitt brukt for nye formål eller på annen måte blitt utnyttet.
82 millioner i gebyrer
Sats er ikke den eneste virksomheten som mottok bot eller varsel om bot i 2022. Pr. desember er det blitt vedtatt 12 overtredelsesgebyr, mens 12 forhåndsvarsler venter på endelig vedtak.
Til sammenligning ble det i 2021 delt ut 26 overtredelsesgebyrer.
Dahl forteller at selv om det i 2022 er et mindre antall, er sakene tyngre med flere store gebyrer.
– Vi vedtok blant annet et gebyr til datingappen Grindr på 65 millioner kroner. Denne saken skal behandles ferdig i Personvernnemnda fordi Grindr selv har valgt å klage på vårt vedtak. De mener at summen er for høy. Vi har også gitt flere store gebyrer til sentrale offentlige aktører, slik som Stortinget på 2 millioner, NAV på 5 millioner og Østre Toten kommune på 4 millioner kroner. Hvis vi regner med Grindr, har vi til sammen vedtatt gebyrer til 82 millioner kroner så langt i 2022, sier hun.
– Hva kjennetegner sakene som får gebyr?
– Det er alvorlige saker, som ofte kunne vært unngått hvis rutiner og regelverk hadde vært fulgt opp på en god nok måte. Felles for sakene er at mange ofte er opptatt av saken, at vi har fått inn en eller flere alvorlige klager fra enkeltpersoner eller avviksmeldinger fra virksomhetene selv. Vi er opptatt av at alle skal lære av sakene, og også at gebyret skal ha en avskrekkende effekt.
Sårbare grupper
Dahl forteller at de har gitt gebyrer på mange områder, fra arbeidslivsaker og kredittvurderinger til håndtering, eller ikke god nok forebyggende håndtering av dataangrep.
– Feil registrering av kundedata og data på avveie er også saker der vi har gitt gebyrer. Vår oppgave er å sørge for et best mulig personvern for alle, og vi ser at i flere av sakene som har fått gebyr, har personopplysningene til for eksempel sårbare grupper vært rammet. Eksempler er barn og skoleelever og skeive.
Det er den samlede alvorlighetsgraden Datatilsynet går ut ifra ved ileggelse av gebyrer. Dahl forteller at de undersøker nærmere hva som har skjedd, hvorfor det har skjedd og hvilke tiltak som var satt inn før, under og etter hendelsen.
– Vi ser på hvilke risikovurderinger som er gjort, og hvordan disse er fulgt opp. Vi er også veldig opptatt av hvordan de berørte følges opp, både med informasjon og tiltak, sier hun.
Det skjer feil hos alle, og det er bedre å melde inn en gang for mye enn en gang for lite.Janne Stang Dahl, Datatilsynet
Tilsynet har også andre virkemidler enn gebyr, slik som forbud mot å for eksempel bruke løsninger som går for sterkt på bekostning av personvernet.
– Dette var tilfelle med den første versjonen av Smittestopp. Vi har også nylig varslet Statistisk sentralbyrå om et forbud mot deres planlagte innsamling av data om den norske befolkningens dagligvarekjøp. Vi mener det er for inngripende i sin nåværende form. I tillegg kan vi gi såkalte irettesettelser eller påpekninger, der vi ber om forbedringer på ulike områder, sier Dahl.
Flere bedrifter melder avvik
I 2022 mottok Datatilsynet 2.088 avviksmeldinger fra bedrifter og organisasjoner, omtrent samme nivå som året før.
– Det som er veldig interessant å se, er at antallet avviksmeldinger som kommer fra bedrifter og organisasjoner, både private og offentlige, har økt med hele 600 prosent siden den nye personvernforordningen GDPR ble innført i 2018. Fra om lag 300 i 2017 til 2.255 i 2021 – og så langt i år rundt 2.088, sier hun.
Tallene viser ifølge Dahl hvor opptatt virksomhetene er av å melde inn brudd.
– Det skjer feil hos alle, og det er bedre å melde inn en gang for mye enn en gang for lite, sier hun.
– Engstelige for dataangrep
– Ser dere noen nye trender i klagene dere får inn?
– Vi ser at mange er opptatt av personvern, det kan faktisk sies å være en trend i seg selv. Så er det klart at teknologien utfordrer personvernet i særlig grad for mange, blant annet når det gjelder kundeforhold og personlige opplysninger på nettet, digitalisering i skolen og helsedata. Store helseplattformer rulles ut, og mange er bekymret for hva som skjer med ens egne private data og pasientjournaler, sier hun.
Dataangrep er også noe mange er engstelige for.
– Informasjonssikkerhet og personopplysninger opptar mange, nettopp fordi det er så mange hendelser som skjer overalt hele tiden. Internettet har kommet for å bli, og data legges ut, samles og brukes på stadig nye måter. Det er ikke alltid vi vet hva våre data brukes til, selv om vi har rett til å vite det. Dette er noe mange er opptatt av.
Kunstig intelligens og annen ny teknologi utfordrer også personvernet, men gir også mange muligheter, påpeker Dahl.
– En av de tingene vi jobber med er å få utviklere og bedrifter til å satse på ny, innovativ og personvernvennelig teknologi.
